Melewati Keamanan Bandara melalui SQL Injection

 (ian.sh)
1 poin oleh GN⁺ 2024-08-30 | 1 komentar | Bagikan ke WhatsApp
  • Sam Curry dan saya menghabiskan banyak waktu di antrean pemeriksaan keamanan bandara
  • Known Crewmember (KCM) adalah program TSA yang memungkinkan pilot dan awak kabin melewati pemeriksaan keamanan
  • Proses KCM sederhana; karyawan menggunakan jalur khusus dan menunjukkan barcode KCM atau nomor karyawan
  • Cockpit Access Security System (CASS) juga merupakan sistem serupa yang memungkinkan pilot menggunakan jumpseat

ARINC

  • ARINC dikontrak oleh TSA untuk mengoperasikan sistem KCM
  • ARINC mengoperasikan situs web dan API yang memungkinkan pilot dan awak kabin memeriksa status KCM mereka
  • Setiap maskapai mengoperasikan sistem autentikasinya sendiri dan berinteraksi dengan "hub" milik ARINC
  • TSA dan maskapai mengirim CockpitAccessRequest dan CrewVerificationRequest ke ARINC, lalu ARINC merutekannya ke sistem maskapai yang sesuai

FlyCASS.com

  • FlyCASS menyediakan antarmuka berbasis web untuk maskapai kecil
  • Melalui pengujian SQL injection, ditemukan kerentanan keamanan di FlyCASS
  • Dengan SQL injection, dimungkinkan untuk masuk ke akun administrator Air Transport International

Administrator KCM dan CASS

  • FlyCASS mengoperasikan KCM dan CASS, dan dengan hak administrator dapat menambahkan karyawan baru
  • Melalui pengujian, ditambahkan karyawan baru Test TestOnly dan diberikan hak akses KCM dan CASS
  • Hal ini mengungkap masalah serius bahwa siapa pun dapat mengakses KCM dan CASS melalui SQL injection

Pengungkapan

  • Ada kesulitan menemukan kontak yang tepat untuk mengungkapkan masalah ini
  • Pada 23 April, masalah ini diungkapkan ke Departemen Keamanan Dalam Negeri, dan FlyCASS dinonaktifkan dari KCM/CASS
  • TSA merilis pernyataan yang menyangkal adanya kerentanan
  • TSA menghapus bagian input manual ID karyawan dari situs web

Linimasa

  • 04/23/2024: Pengungkapan awal ke ARINC dan FAA
  • 04/24/2024: Pengungkapan lanjutan ke DHS
  • 04/25/2024: CISO DHS mengonfirmasi sedang dilakukan upaya perbaikan
  • 05/07/2024: Dikonfirmasi bahwa FlyCASS dipisahkan dari KCM/CASS
  • 05/17/2024: Tindak lanjut atas pernyataan TSA (tidak ada respons)
  • 06/04/2024: Tindak lanjut atas pernyataan TSA (tidak ada respons)

Kolaborator

Ringkasan GN⁺

  • Artikel ini membahas kerentanan serius dalam sistem keamanan bandara
  • Cacat keamanan pada sistem KCM dan CASS menimbulkan masalah di mana siapa pun dapat melewati pemeriksaan keamanan dan mengakses kokpit
  • Hak administrator dapat diperoleh melalui SQL injection, dan ini merupakan ancaman keamanan yang serius
  • Artikel ini menjelaskan secara rinci proses para peneliti keamanan menemukan dan mengungkap masalah tersebut
  • Sistem dengan fungsi serupa antara lain TSA PreCheck dan Global Entry

Bacaan terkait

1 komentar

 
GN⁺ 2024-08-30
Opini Hacker News

  • Sistem TSA rentan terhadap kesalahan dasar pemrograman web

    • TSA cenderung menutupi dan menyangkal alih-alih memperbaiki masalah
    • Ini adalah konsekuensi alami dari pola pikir otoriter

  • Respons TSA terasa kekanak-kanakan dan memalukan

    • DHS awalnya menangani laporan dengan cepat dan profesional, tetapi kemudian gagal mempertahankan otoritas tertinggi dalam proses penyelesaian masalah dan pengungkapan

  • Mengejutkan bahwa ini melampaui SQL injection hingga menciptakan catatan palsu untuk karyawan

    • Lebih mengejutkan lagi bahwa Homeland tidak menangkap pihak yang terlibat
    • Sangat mungkin ini disalahartikan sebagai peretasan jahat alih-alih pengungkapan yang bertanggung jawab

  • Siapa pun yang punya sedikit motivasi tidak akan kesulitan mengulangi 9/11

    • Alasan terorisme jarang terjadi bukan karena lembaga keamanan melindungi kita, tetapi karena jumlah teroris sangat sedikit

  • Mungkin pengembang FlyCASS tahu masalahnya akan segera diperbaiki dan menginginkan dampak yang lebih besar

  • Fakta bahwa tidak ada yang menyinggung penyimpanan kata sandi dengan MD5 menunjukkan betapa seriusnya situasi ini

    • Karena bisa diakses dengan mudah melalui kueri SQL, cara penyimpanan kata sandi menjadi tidak berarti

  • Menyangkal tingkat keparahan masalah ini tidak mengejutkan, tetapi tidak memberi tahu FBI atau tidak melakukan penangkapan memang mengejutkan

  • Sistem keamanan bernilai miliaran dolar dilumpuhkan oleh SQL injection sederhana

  • Respons TSA sangat mengejutkan

  • Saya ingin mengusulkan kenaikan gaji agar pemerintah bisa merekrut talenta yang lebih baik, tetapi masalahnya tampak sistemik sehingga sepertinya tidak akan efektif

    • Semua orang terus mengulangi kesalahan yang sama
    • Ada kesempatan untuk memperbaiki masalah, tetapi itu terlewatkan